Archive

Wie Du deinen Online-Shop schützt

Bei allen Unterschieden zu einem traditionallen Geschäft hat dein Online-Shop auch einige Gemeinsamkeiten damit – zum Beispiel die Tatsache, dass es Leute gibt, die sich unerlaubten Zugang dazu verschaffen wollen.
Du tätest also gut daran, dich dagegen zu schützen. Nicht nur dass Du dicht damit gegen Hacker und Betrüger schützt (als ob das nicht schon Grund genug wäre), Du tust damit auch etwas für dein Suchmaschinen-Ranking. Kein Witz – Google rankt Seiten höher wenn sie eine SSL-Verschlüsselung haben.

Hier sind ein paar Tipps wie Du das am besten machst:

Nur die relevanten Kundendaten speichern

Hacker lieben Information. Viele große Hacks – die Art von denen man selbst in den nicht-Technologie-Nachrichten hört – drehen sich darum, Userdaten zu stehlen. Eine Möglichkeit sich zu schützen ist, kein attraktives Ziel abzugeben. Viele Online-Shops machen hier schonmal einen großen Fehler, indem sie den Nutzer nach Daten fragen, die gar nicht benötigt werden.
Als Faustregel: Wenn es keinen guten Grund gibt warum Du eine Information wissen solltest, dann frag auch nicht danach. Wenn keine deiner Waren einer Altersbeschränkung unterliegen, brauchst Du das Geburtsdatum des Käufers nicht zu wissen; und wenn dein Shop nur elektronische Ware verkauft, benötigst Du auch keine Lieferadresse.

Das hat den zusätzlichen Vorteil, dass es den Anmeldeprozess einfach und weniger nervig macht. Gerade beim mobilen Shopping, wo man in der Regel nur mit der Bildschirmtastatur arbeitet, beschleunigt ein Konzentrieren aufs Nötigste den Anmeldeprozess enorm.
Zudem spart es natürlich auch Speicherplatz.

Stelle sicher, dass deine Hosting-Plattform solide ist

Ich erzähle Dir wahrscheinlich nichts neues wenn ich sage, dass es eine ganze Menge Hostig-Provider da draußen gibt. Du musst dir einen suchen, die das Thema Sicherheit auch ernst nimmt. Denn wenn ein Hacker die Kontrolle über einen Server übernimmt, kann er die hunderten von Webseiten die darauf gespeichert sind, einfach abschalten (wenn nicht schlimmeres).

Also lies ein paar unabhängige Reviews (am besten aus verschiedenen Quellen) oder frage ein wenig in Technikforen herum um herauszufinden welche Hoster verlässlich sind.

Benutze SSL-Verschlüsselung

Deine Kunden wollen sicher sein, dass Du alles getan hast um deinen Shop (und ihre Daten) abzusichern. Eine der grundlegendsten Möglichkeiten um den Kunden etwas Vertrauen in deine Seite zu vermitteln ist die Installation eines SSL-Zertifikats.

Kurz gesagt: ein SSL-Zertifikat ermöglicht es deinem Shop, Daten verschlüsselt zu übermitteln. Das bedeutet, dass die Kommunkation zwischen Webbrowsern und deinem Server sicher ist. SSL-Verschlüsselung ist essenziell, wenn Du möchtest dass Kunden wichtige Informationen auf deiner Seite lagern. So essenziell dass viele Kunden sich gar nicht mehr auf Seiten registrieren die keine
SSL-Verschlüsselung anbieten.

Es gibt verschiedene Arten von SSL-Zertifikaten – manche davon sind sogar kostenlos erhältlich. Wenn Du dir eines aussuchst, achte darauf, dass es 256-bit Verschlüsselung anbietet.

Verlange zusätzliche Bestätigungen bei Kreditkarten

Viele Seiten verlangen nur die üblichen Kartendetails von ihren Kunden. Mit anderen Worten: alles was sie wollen ist die Kartennummer, der Name darauf und das Verfallsdatum. Aber wusstest Du, dass Du das Betrugsrisiko noch weiter senken kannsrt, indem Du eine weitere Bestätigung verlangst?

Visa-Karten haben einen Schutzplan genannt „verified by Visa“, während MasterCard einen „SecureCode“-Plan anbietet. Beide funktionieren auf die gleiche Art: sobald ein Kunde seine Karteninformationen eingibt, wird er auf eine andere Seite weitergeleitet.
Auf dieser Seite muss er dann ein Passwort eingeben das nur ihm bekannt ist – normalerweise wird dieses bei der ersten Benutzung der Karte festgelegt.

Wenn Du viele Kunden hast die mit Kreditkarte bezahlen, solltest Du mal mit deinem Payment Provider klären ob er diese Funktion anbietet. Wenn dann Jemand versucht mit einer gestohlenen Kreditkarte bei Dir einzukaufen, kann er die Transaktion nicht abschließen.

Teste deinen Shop nach Verwundbarkeiten

Vollkommen egal was Du sichern willst – deine Arbeit ist niemals abgeschlossen. Technologie veraltet, neue kommt dazu, neue Ideen und Techniken verbreiten sich und irgendwann ist die teuerste HighTech gerade noch gut genug um die billigsten Amateur abzuhalten.
Deswegen musst Du regelmäßig deine Webseite auf Schwachstellen überprüfen. Anders gesagt: Du musst versuchen in deine eigenen Webseite einzubrechen – und auf die Art alle Sicherheitslücken finden die Du stopfen musst.

Manche E-Commerce-Plattformen bieten Plugins an, die dann im Hintergrund laufen und nach verdächtigen Code Ausschau halten. Oder Du kannst eine Sicherheitsfirma anheuern die das für dich erledigt.

Aber egal wie Du es tust: Du solltest regelmäßige Sicherheitsüberprüfungen zu einer Priorität machen. Nur weil deine Seite gestern sicher war, heißt das nicht dass sie das auch morgen noch ist.

Halte deine E-Commerce Software immer auf dem neuesten Stand

Das sollte sich eigentlich von selbst verstehen, wird aber immer gerne aufgeschoben oder vergessen. Sicherheit ist ein ewiges Wettrüsten zwischen Programmierern und Hackern – aber wenn Du nicht zügig auf die neusten Versionen updatest, dann ist das so als wenn Du ein topmodernes Türschloss kaufst… und es dann nicht einbaust.

Also: bleib immer auf dem neusten Stand.

Hast Du noch Tipps wie man die Sicherheit eines Online-Shops verbessern kann? Teile Sie mit uns in den Kommentaren!

 

Die besten WordPress Security-Plugins

Stell Dir das folgende Szenario vor: Es ist gerade Freitag Abend, Du lehnst dich zurück, schaust nochmal kurz in dein Mail-Postfach, nur um sicherzugehen dass alles in Ordnung ist. Du hast eine neue Mail von einem Stammkunden, aber sie sieht nicht nach einer Bestellung aus. Du öffnest sie, und er schreibt, dass ihm irgendetwas an deiner Seite komisch vorkommt.

Du gehst auf deine Seite und siehst: er hatte Recht. So sollte die Seite nicht aussehen.
Du versuchst dich ins Backend einzuloggen, aber alles was Du bekommst sind Fehlermeldungen.

Gratuliere, Du wurdest gerade gehackt!

Ein Horrorszenario, egal ob Du einen Dax-notierten Konzern betreibst oder nur einen kleinen Online-Shop. Gehackt zu werden kann jedem passieren – jederzeit. Hacker sind überall, und es braucht mehr als ein gutes Passwort um dich und deine Seite davor zu schützen.

Aber Hacker sind nicht die einzige Gefahr für deine Seite und deine Daten. Es gibt viele gute Gründe um dir Gedanken um ein paar Sicherheits-Features zu machen:

– Spam-Content blocken
– Content-Diebstahl verhindern
– Firewall-Schutz
– Email-Sicherheit
– sichere und einfache Backups

Zum Glück gibt es da jede Menge Hilfe in Form von WordPress-Plugins. Untenstehend findest Du eine Reihe von hervorragenden Plugins – sowohl kostenlose wie auch kostenpflichtige – mit denen Du deine Seite schützen kannst.

Wordfence Security

Wordfence Security gehört zu den beliebtesten Security-Plugins. Es bietet eine gute grundlegende Sicherheitsarchitektur, schützt dich vor falschen Logins, Angriffen und Spam. Das Plugin kann Dir sogar ganz von Anfang helfen, indem es die Seite von dem Moment der ersten Installation scannt um zu sehen ob sie bereits kompromittiert wurde.

Vault Press

Vault Press wurde von Schöpfern der WordPress-Plattform entwickelt, also von den Leuten die WordPress‘ Sicherheitslücken kennen. Dieses Plugin erleichtert das Anlegen von Backups deiner Seite – und ein Backup zu haben ist enorm wichtig für dan Fall dass Du gehackt wirst. Dann braucht es nur ein paar Klicks und Du bist wieder online.

Login Lockdown

Es ist nicht allzu ungewöhnlich für einen Webseiten-Besitzer wenn er ein paar Mal die Woche Benachrichtigungen über verdächtige Login-Aktivitäten erhält. Bots können darauf programmiert werden, in schneller Folge viele verschiedene Passwortkombinationen auszuprobieren. Das Login Lockdown-Plugin erlaubt es Dir eine Cooldown-Periode einzurichten, also eine Wartezeit nach einer bestimmten Anzahl von gescheiterten Logins.

Sucuri

Fortgeschrittenen User die sich unbedingt vor Hackern schützen wollen, greifen gerne auf Sucuri zurück. Es ist nicht ganz billig, bietet aber umfangreiche Features: Sucuris Schutz gegen Brute-Force-Attacken prüft sogar den eingehenden Traffic indem es ihn über einen Proxy-Server scannt. Fällt etwas durch diese Prüfung, erreicht es nicht einmal den eigentlichen Server.

WPS Hide Login

Einer der häufigsten Angriffsstrategien gegen eine WordPress-Seite ist ein Angriff durch mehrere Bots, die auf der Standard Login-Seite viele verschiedene Passwörter ausprobieren. WPS Hide Login gibt Dir ein Plus an Sicherheit, indem es das Login auf eine URL deiner Wahl verlegt und es damit effektiv vor den Bots versteckt.

iThemes Security

iThemes Security sieht sich als das alles-in-einem WordPress Sicherheits-Plugin das all deine Sicherheitsbedürfnisse erfüllen kann. Besonders gut ist es darin, Login-Versuche zu überwachen. Zu seinen beliebstesten Features gehört die Möglichkeit die Login-Seite „einzufrieren“ und dich zu alarmieren wenn Jemand versucht einzudringen.

WP Security Audit Log

Wenn Du dich genau auskennst mit der Art von Sicherheitsproblemen hast die auf WordpRess auftreten können, könnte WP Security Audit Log das perfekte Sicherheits-Plugin für dich sein. Es loggt alles was im Backend deiner Seite passiert, so kann ein schneller Blick potentielle Probleme aufzeigen, noch bevor sie einen kritischen Punkt erreichen.

Google Authenticator

Viele Sicherheitsexperten unterstreichen heutzutage die Bedeutung einer Zwei-Faktor-Authentifizierung beim Umgang mit Passwörtern. Dabei hilft das Google Authenticator Plugin. Es erweitert die Sicherheit um eine zusätzliche Komponente, indem es den User zwingt seine Identität auch noch auf eine zweite Art (z.B. Telefonanruf, App oder Text) zu bestätigen.

WP Security Ninja

Versuchen Hacker zu verstehen um sich vor Hackern zu schützen ist nicht gerade ein Erfolgsrezept. Sie sind dir fast immer einen Schritt voraus. Deswegen kann ein Plugin wie WP Security Ninja eine unschätzbare Hilfe sein: mit nur einem Klick kannst Du deine gesamte Webseite scannen und über 50 verschiedene Sicherheits-Tests durchführen, von einigen davon hast Du wahrscheinlich noch nie gehört.

UpdraftPlus WordPress Backup Plugin

Noch ein großartiges Plugin für eine Backup- und Wiederhestellungs-Bedürfnisse. Mit UpdraftPlus kannst Du deine Backups in eine Cloud laden, je nach Geschmack einmalig oder nach festen Zeitplänen. Ebenso einfach kannst Du eine gebackupte Seite wiederherstellen.

 

Fazit

Sicherheit ist eines von diesen Dingen die man absolut nicht aufschieben sollte. Du kannst dich entweder jetzt in Ruhe darum kümmern, oder wütend und in Panik nach deinem nächsten Hack. Entscheide selbst, was Dir lieber ist.